ibrasonic/Reqlore

# Reqlore Burp 级别的 Web 应用程序渗透测试套件。原生 Python。无障碍优先。本地 Web UI。 ## 它是什么 一个位于 `http://127.0.0.1:8787` 的本地 Web 应用，为您提供： - 带有请求暂存队列和逐规则过滤器的 MITM 拦截代理。 - 具备完整搜索、过滤、导出功能的 HTTP 历史记录。 - Repeater（编辑 + 重放任何请求）—— 六大引擎（httpx / raw / h3 / curl-cffi × 3）。 - Intruder（sniper / battering ram / pitchfork / cluster bomb）—— 同样支持六大引擎。 - Param miner，GraphQL / WebSocket / SAML / HTTP-2 / smuggling 工作台。 - 被动 + 主动扫描器（内置 OAST-SSRF 检测）、Sequencer、Macro 引擎。 - Decoder/Encoder、JWT 工作台、Comparer、Sitemap、Match-and-replace、Reporter。 - 用于定期被动扫描的 Scheduler（APScheduler 可选，线程作为回退）。 - HAR 导入器（`reqlore import-har`）、可选的更新检查、插件 API。 - 带有主题（浅色 / 深色 / 高对比度）、详细程度配置、音频提示以及可重映射键盘布局的设置页面。 完整的各模块演练：[`docs/USAGE.md`](docs/USAGE.md)。 ## 为什么开发它 Burp Suite 是行业标准，但其 Java Swing UI 对屏幕阅读器用户来说是一大障碍。Reqlore 从底层开始就采用纯语义化 HTML5 + Jinja2 构建，这是对 NVDA、JAWS、Orca 和 VoiceOver 来说最可靠的基础支持。目标符合 **WCAG 2.2 AA** 标准；详情见 [`docs/ACCESSIBILITY.md`](docs/ACCESSIBILITY.md)。 ## 安装 要求 **Python 3.12+**。请选择与您平台匹配的安装方式。 ### 最快捷：一键安装程序（Linux / macOS / Windows） ``` # Linux / macOS git clone https://github.com/ibrasonic/Reqlore.git cd Reqlore sh install.sh ``` ``` :: Windows (cmd or PowerShell) git clone https://github.com/ibrasonic/Reqlore.git cd Reqlore install.bat ``` 安装程序会在 `.venv/` 中创建一个虚拟环境，将 Reqlore 安装到其中，并打印出如何运行 `reqlore` 命令的说明。在 Linux/macOS 上， 脚本会尝试通过您的系统包管理器（`apt`/`dnf`/`pacman`/`zypper`/`apk`/`brew`，如有需要会使用 `sudo`）自动安装 [`pipx`](https://pipx.pypa.io)，这样您就可以获得全局的 `reqlore` 命令而无需激活步骤； 设置 `REQLORE_NO_PIPX=1` 可跳过此步骤并直接使用 venv 路径。 然后： ``` reqlore init demo.rlr reqlore both --project demo.rlr # UI on http://127.0.0.1:8787, proxy on 127.0.0.1:8080 ``` （在 Windows 上，请在命令前加上 `.venv\Scripts\` 前缀，或使用 `.venv\Scripts\activate.bat` 激活 venv。） ### 手动安装（贡献者 / 二次开发） ``` git clone https://github.com/ibrasonic/Reqlore.git cd Reqlore py -m venv .venv .venv\Scripts\Activate.ps1 # Linux/macOS: source .venv/bin/activate py -m pip install -e ".[dev]" # editable install + test/lint tools py -m pytest reqlore/tests/unit -q # should be 1368 passed, 239 skipped reqlore init demo.rlr reqlore both --project demo.rlr ``` 其他子命令： ``` reqlore ui --project demo.rlr # UI only reqlore proxy --project demo.rlr # MITM only reqlore browser # spawn Firefox pre-pointed at the proxy ``` 可选附加依赖：`[h3]`、`[impersonate]`、`[report]`、`[plugins]`、`[yaml]`、`[a11y]`、`[schedule]` —— 请参阅 [`docs/USAGE.md`](docs/USAGE.md#install)。 ### 卸载 ``` sh uninstall.sh # Linux / macOS sh uninstall.sh --purge-data # also drop ./data and demo.rlr* files ``` ``` :: Windows uninstall.bat uninstall.bat --purge-data ``` 移除通过 pipx 安装的 `reqlore` 和/或本地的 `.venv/`。**不会**移除 pipx 本身、Python，或您可能在浏览器/操作系统证书库中信任的 mitmproxy CA —— 这些将被保留，因为您可能会将它们用于其他工具。 ## 使用 Docker 运行 ``` docker compose up --build # UI: http://127.0.0.1:8787 # Proxy: 127.0.0.1:8080 ``` 项目文件持久化存储在 `./data/my.rlr` 中。两个监听器均固定在主机的 loopback 上。详情：[`docs/USAGE.md`](docs/USAGE.md#docker)。 ## 文档 从 [`docs/USAGE.md`](docs/USAGE.md) 开始 —— 它索引了所有其他内容。 | 文件 | 内容 | |---|---| | [`docs/USAGE.md`](docs/USAGE.md) | **入口。** 安装、首次运行、CLI，以及指向各模块指南的链接。 | | [`docs/modules/`](docs/modules/) | 每个面板一个参考页面（Proxy、History、Repeater、Intruder、Scanner 等）。 | | [`docs/engines.md`](docs/engines.md) | 六大请求引擎（`httpx`、`raw`、`h3`、`curl-cffi:*`）以及各自适用场景。 | | [`docs/workflows.md`](docs/workflows.md) | 端到端实战测试案例（绕过认证、IDOR、SSRF、JWT、smuggling）。 | | [`docs/KEYBINDINGS.md`](docs/KEYBINDINGS.md) | 所有页面统一的键盘映射图。 | | [`docs/TROUBLESHOOTING.md`](docs/TROUBLESHOOTING.md) | 症状 → 修复对照表。 | | [`docs/login.md`](docs/login.md) | argon2id UI 密码网关、`--no-password`、反向代理前端。 | | [`docs/browser-launcher.md`](docs/browser-launcher.md) | `reqlore browser` Firefox 缓存、预取、WSL → 宿主机、自动依赖。 | | [`docs/ARCHITECTURE.md`](docs/ARCHITECTURE.md) | 进程模型、引擎、存储。 | | [`docs/FEATURES.md`](docs/FEATURES.md) | 逐模块状态矩阵。 | | [`docs/ROADMAP.md`](docs/ROADMAP.md) | 阶段计划。 | | [`docs/ACCESSIBILITY.md`](docs/ACCESSIBILITY.md) | WCAG 2.2 AA 合规性 + AAA 严格模式。 | | [`docs/SECURITY.md`](docs/SECURITY.md) | 工具自身的威胁模型。 | | [`docs/PLUGINS.md`](docs/PLUGINS.md) | 插件 API。 | | [`docs/CONTRIBUTING.md`](docs/CONTRIBUTING.md) | 开发工作流。 | | [`docs/internal/`](docs/internal/) | 历史开发计划（扫描器缺口、可靠性矩阵、Intruder 增强）。非面向用户。 | ## 许可证 **在 [Apache License 2.0](LICENSE) 下开源。** 您可以自由 在任何环境中使用、修改、分发和嵌入 Reqlore —— 无论是个人、学术、慈善还是商业用途 —— 包括在 雇佣盲人和低视力从业者的企业安全团队内部，以及 在付费的咨询业务中。Apache 2.0 许可证还授予了明确的专利许可，这就是为什么大多数 主流开源安全工具（例如 OWASP ZAP）都以它为标准。 唯一的义务是常规的那些：在副本中保留版权 声明和 LICENSE 文件，说明您所做的重大更改， 并且不要使用 Reqlore 名称或徽标来暗示对您的分叉版本的 认可。欢迎提交贡献 —— 通过提交 pull 请求，即表示您按照相同条款（Apache 2.0, § 5）许可您的贡献。 请将安全问题私下报告给 [ibrahim.m.badawy@gmail.com](mailto:ibrahim.m.badawy@gmail.com) —— 有关 披露政策，请参阅 [docs/SECURITY.md](docs/SECURITY.md)。 版权所有 (c) 2026 Ibrahim Badawy。

标签：Python, Web渗透测试, 无后门, 无障碍设计, 请求拦截, 运行时操纵, 逆向工具, 防御绕过